kushkalia1908/apk-fraud-analyzer
GitHub: kushkalia1908/apk-fraud-analyzer
基于 Python 的 Android APK 静态恶意软件分析脚本,无需运行应用即可提取欺诈与恶意行为的可观测指标。
Stars: 0 | Forks: 0
# APK 欺诈分析器
一个用于检查可疑 Android APK 的 Python 静态分析脚本。基于 [androguard](https://github.com/androguard/androguard) 构建,旨在无需运行或安装 APK 的情况下,快速挖掘欺诈或恶意应用(如伪造的银行/政府应用、Dropper 等)的指标。
## 检查内容
- **文件哈希** — APK 的 MD5 和 SHA256
- **应用身份** — 包名、应用标签、版本、最低/目标 SDK
- **签名证书** — v1/v2/v3 签名状态、主题/颁发者、SHA256 指纹,以及 AOSP 公共 debug 证书的标志(如果出现在“真实”应用上,这是一个强烈的危险信号)
- **Manifest 危险信号** — 是否存在 `debuggable` 和 `usesCleartextTraffic` 属性
- **权限** — 请求的完整权限列表
- **组件** — Manifest 中声明的 activities、services 和 receivers
- **内嵌 URL** — 在 DEX 字节码中发现非标准 URL(已进行过滤,排除了常见的 SDK/schema 域名)
- **Dropper/加密行为证据** — 对与加密 payload、应用安装、VPN 服务和 AES/CBC 使用相关的字符串进行模式匹配
## 环境要求
```
pip install androguard loguru
```
## 用法
```
python analyze_apk.py path/to/sample.apk
```
或者不带参数运行,系统会提示你输入文件名:
```
python analyze_apk.py
```
报告会自动保存为工作目录下的 `evidence_report_.txt`,因此多个样本不会相互覆盖输出内容。
## 输出示例(已截断)
```
======================================================================
FRAUD APK ANALYSIS REPORT
======================================================================
Target APK : sample.apk
[1] FILE HASHES
MD5 : ...
SHA256: ...
[2] APP IDENTITY
Package name : com.example.fake
App label : Example App
...
```
## 免责声明
本工具**仅供教育和防御性安全研究目的使用** —— 例如,分析你收到的可疑 APK,以便在报告或阻止它们之前了解其行为。请勿使用它来分析你没有权限检查的应用,也不要利用任何发现来构建或分发恶意软件。作者对任何滥用行为不承担责任。
## 许可证
MIT(或根据你的偏好进行更新)
标签:开源情报, 逆向工具